В апреле через спам распространялась усовершенствованная версия Agent Tesla - «Новости»

Аналитики компании Check Point подготовили отчет Global Threat Index за апрель текущего года. Они отмечают, что несколько спам-кампаний, связанных с коронавирусом (COVID-19), распространяют новый, модифицированный вариант трояна Agent Tesla. Суммарно он атаковал примерно 3% организаций во всем мире.

Agent Tesla — усовершенствованный RAT, то есть троян удаленного доступа, известный ИБ-экспертам с 2014 года. Вредоносная программа написана на .Net и способна отслеживать и собирать вводимые данные с клавиатуры жертвы, из буфера обмена, снимать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, Mozilla Firefox и Microsoft Outlook). Малварь может отключать антивирусные решения и процессы, которые пытаются ее анализировать и мешают работать.

Исследователи рассказываю, что новый вариант Agent Tesla был модифицирован для кражи паролей от Wi-Fi. Также троян умеет извлекать учетные данные электронной почты из клиента Outlook.

В апреле 2020 года Agent Tesla часто встречался в нескольких вредоносных кампаниях,  связанных с COVID-19. Подобные спам-рассылки пытаются заинтересовать жертву якобы важной информацией о пандемии, чтобы та загрузила вредоносные файлы.

Одна из этих кампаний была разослана якобы от Всемирной организации здравоохранения с темами: URGENT INFORMATION LETTER: FIRST HUMAN COVID19 VACCINETEST/RESULT UPDATE –– «СРОЧНОЕ ОПОВЕЩЕНИЕ: ПЕРВОЕ ТЕСТИРОВАНИЕ ВАКЦИНЫ ОТ COVID-19 НА ЧЕЛОВЕКЕ / РЕЗУЛЬТАТЫ ИССЛЕДОВАНИЙ». Это еще раз подчеркивает, что хакеры используют последние события в мире и страх населения, чтобы повысить эффективность своих атак.

В этом месяце банкер Dridex затронул 4% организаций во всем мире, а XMRig и Agent Tesla –– 4% и 3% соответственно. В итоге ТОП-3 наиболее активной малвари в апреле 2020 года выглядит следующим образом:

• Dridex— банковский троян, поражающий ОС Windows. Распространяется с помощью спам-рассылок и наборов эксплоитов, которые используют вебинженты для перехвата персональных данных, а также информации о банковских картах пользователей.


• XMRig—  опенсорсное ПО, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero;


• Agent Tesla— усовершенствованный троян удаленного доступа (RAT). AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей.

Список наиболее активной малвари в России, как обычно, отличается от мирового, в него вошли:

• Emotet — продвинутый самораспространяющийся модульный троян. Когда-то был рядовым банкером, но в последнее время используется для распространения вредоносных программ и кампаний. Новая функциональность позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.


• RigEK –– набор эксплоитов, содержит эксплоиты для Internet Explorer, Flash, Java и Silverlight. Заражение начинается с перенаправления жертвы на целевую страницу, содержащую Java-скрипт, который затем ищет уязвимые места и пытается эксплуатировать проблему.


• XMRig — опенсорсное ПО, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero;

Как и в прошлом месяце, список наиболее активных мобильных угроз практически не претерпел изменений: вредонос xHelper сохранил первое место в списке самых наиболее распространенных мобильных угроз, и за ним следуют AndroidBauts и Lotoor.